Zum Inhalt
KI und DSGVO
Rechtsinfo

KI und DSGVO

Die Website ist der erste digitale Kontaktpunkt – und der sichtbarste. Impressum und Datenschutzerklärung müssen leicht auffindbar sein, Cookies und Tracking korrekt gesteuert werden, Formulare transparent informieren und externe Einbindungen datenschutzgerecht erfolgen. Dieser Beitrag führt Sie Schritt für Schritt durch die wichtigsten Anforderungen einer DSGVO-konformen Hotel-Website.

Lesezeit: 

KI: Chancen nutzen und dabei Daten schützen

Viele Hotels nutzen KI bereits im Alltag – oft ganz selbstverständlich. Sie hilft beim Formulieren von Social-Media-Posts, Newslettern, Website-Texten, Angebotsbausteinen oder Blogbeiträgen. Manche Häuser verwenden KI auch für Bildideen, Kampagnenplanung, Chatbots oder zur ersten Auswertung von Gästefeedback. KI kann die tägliche Marketingarbeit im Hotel deutlich erleichtern. Sobald dabei aber personenbezogene Daten – etwa Gäste-, Mitarbeiter:innen- oder Reservierungsdaten – oder vertrauliche Firmendaten ins Spiel kommen, müssen Datenschutz und Datensicherheit von Anfang an mitgedacht werden.

Wo KI im Hotel bereits eingesetzt wird

In der Praxis beginnt der Einsatz von KI meist harmlos: Ein Newsletter-Betreff wird optimiert, ein Social-Media-Text vorgeschlagen oder ein neues Package sprachlich etwas schöner beschrieben. Solche Anwendungen sind in der Regel unproblematisch, solange keine echten Gästedaten, Reservierungsinformationen oder vertraulichen Hotelinformationen verwendet werden.

Heikel wird es dort, wo konkrete Gästeinformationen ins Spiel kommen. Das kann zum Beispiel der Fall sein, wenn Gästebewertungen mit Namen analysiert, Beschwerdemails zusammengefasst, CRM-Daten ausgewertet oder Zielgruppen für Marketingkampagnen automatisch gebildet werden. Auch automatisierte Gästeantworten, Chatbots auf der Website oder KI-gestützte Newsletter-Personalisierung können datenschutzrechtlich relevant sein.

Der erste Schritt ist daher ein einfacher Überblick: Wo wird KI im Hotel bereits verwendet? Wer nutzt welche Tools? Werden nur allgemeine Texte erstellt oder werden auch personenbezogene Daten verarbeitet?

Datenschutz beginnt bei der Eingabe

Viele Risiken entstehen nicht erst beim fertigen Ergebnis, sondern bereits bei der Eingabe in ein KI-Tool. Wer Namen, E-Mail-Adressen, Telefonnummern, Reservierungsdetails, Beschwerden oder besondere Wünsche von Gästen in ein öffentlich zugängliches KI-Tool kopiert, verarbeitet personenbezogene Daten. Je nach Inhalt können sogar sensible Informationen betroffen sein, etwa Gesundheitsdaten, Allergien, Ernährungswünsche oder Informationen aus dem Spa- und Wellnessbereich.

Für allgemeine Textideen, Formulierungen oder Marketingkonzepte können KI-Tools sehr gut genutzt werden. Echte Gäste-, Mitarbeiter:innen- oder Reservierungsdaten sollten aber nur dann verwendet werden, wenn das Tool geprüft ist und klar ist, was mit den Daten passiert.

Eine einfache Faustregel hilft im Alltag: Alles, was man nicht ungeprüft auf eine Postkarte schreiben würde, gehört auch nicht ungeprüft in ein KI-Tool.

Daten anonymisieren oder allgemein beschreiben

Wenn KI zur Unterstützung eingesetzt wird, sollten Daten vorab anonymisiert oder zumindest so weit wie möglich verallgemeinert werden. Statt eine echte Beschwerdemail mit Namen, Buchungsnummer und Aufenthaltsdatum in ein Tool zu kopieren, reicht es meist aus, den Sachverhalt allgemein zu beschreiben.

Zum Beispiel: „Ein Gast beschwert sich über Wartezeiten beim Check-in und ein nicht gereinigtes Zimmer. Bitte formuliere eine höfliche Antwort im Stil eines 4-Sterne-Hotels.“

So kann die KI bei einer brauchbaren Formulierung unterstützen, ohne unnötig personenbezogene Daten preiszugeben. Auch bei Bewertungen, Umfragen oder Gästefeedback sollte vor der KI-Auswertung geprüft werden, ob Namen, Zimmernummern, E-Mail-Adressen oder andere identifizierende Informationen entfernt werden können.

Anbieter, Verträge und Datenflüsse prüfen

Nicht jedes KI-Tool ist für den Einsatz mit Hotel- oder Gästedaten geeignet. Manche Anbieter speichern Eingaben, manche verwenden sie für Trainingszwecke, andere bieten eigene Unternehmensversionen mit besseren Schutzmechanismen an. Genau deshalb sollten Hotels nicht nur auf die einfache Bedienung eines Tools achten, sondern auch auf die Rahmenbedingungen dahinter.

Vor dem Einsatz sollte geklärt sein, wer die Anbieter:innen sind, wo die Daten verarbeitet werden, ob Eingaben gespeichert oder zum Training verwendet werden und welche Sicherheitseinstellungen möglich sind. Wenn personenbezogene Daten im Auftrag des Hotels verarbeitet werden, ist auch zu prüfen, ob ein Vertrag zur Auftragsverarbeitung erforderlich ist. Werden Daten außerhalb der EU oder des EWR verarbeitet, braucht es zusätzlich eine Bewertung des Drittlandtransfers.

Für die Praxis empfiehlt sich eine kurze interne Liste: Welche KI-Tools dürfen im Hotel verwendet werden? Wofür dürfen sie genutzt werden? Und welche Daten dürfen keinesfalls eingegeben werden?

Transparenz gegenüber Gästen

Mit dem AI Act werden Transparenzpflichten beim Einsatz bestimmter KI-Systeme wichtiger. Für Hotels besonders relevant sind Chatbots und KI-generierte oder stark bearbeitete Inhalte.

Wenn Gäste auf der Hotel-Website mit einem Chatbot kommunizieren, sollten sie klar erkennen können, dass sie mit einem KI-System und nicht mit einem Menschen schreiben. Ein kurzer Hinweis wie „Hier antwortet ein KI-Assistent“ kann in vielen Fällen ausreichend sein.

Auch bei KI-generierten Bildern, Videos oder stark veränderten Inhalten ist Vorsicht geboten. Wird ein Poolbereich, ein Zimmer oder eine Aussicht künstlich erzeugt oder wesentlich verändert, kann bei Gästen ein falscher Eindruck entstehen. Gerade in der Hotellerie lebt Marketing von Vertrauen. Gäste erwarten, dass Bilder und Beschreibungen eine realistische Grundlage haben.

Bei KI-generierten Texten ist nicht jeder einzelne Social-Media-Post automatisch kennzeichnungspflichtig. Trotzdem kann ein Hinweis sinnvoll sein, wenn der KI-Einsatz für Gäste wesentlich ist oder sonst ein falscher Eindruck entstehen könnte. Unabhängig davon sollten alle veröffentlichten Inhalte vorab von einer verantwortlichen Person geprüft werden.

Menschliche Kontrolle bleibt notwendig

KI kann gute Vorschläge liefern. Sie kann aber auch falsche Informationen erfinden, veraltete Angaben übernehmen oder Formulierungen erzeugen, die nicht zum Hotel passen. Gerade im Marketing können dadurch schnell falsche Erwartungen entstehen.

Preise, Öffnungszeiten, Stornobedingungen, Leistungsbeschreibungen, Inklusivleistungen oder Verfügbarkeiten dürfen daher niemals ungeprüft aus einem KI-Text übernommen werden. Am Ende muss immer ein Mensch aus dem Hotel entscheiden, ob der Inhalt stimmt und zum Haus passt.

KI-Kompetenz und interne Regeln

Der AI Act verpflichtet Unternehmen, die KI einsetzen, dafür zu sorgen, dass jene Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Für Hotels bedeutet das nicht automatisch umfangreiche Schulungsprogramme. Es bedeutet aber, dass Mitarbeiter:innen wissen sollten, was sie tun.

Eine kurze interne KI-Richtlinie kann bereits viel bewirken. Darin sollte geregelt sein, welche Tools verwendet werden dürfen, welche Daten nicht eingegeben werden dürfen, wann Inhalte gekennzeichnet werden müssen und wer Ergebnisse vor Veröffentlichung prüft. Besonders Rezeption, Reservierung, Marketing, Sales und Direktion sollten sensibilisiert sein, weil dort häufig mit Gästedaten, Anfragen, Bewertungen und Kommunikationsinhalten gearbeitet wird.

Dokumentation im Datenschutz

Wenn KI im Hotel nur für allgemeine Textideen ohne Personenbezug genutzt wird, ist der Dokumentationsaufwand überschaubar. Sobald jedoch personenbezogene Daten verarbeitet werden, muss der Einsatz datenschutzrechtlich erfasst werden. Dazu gehören Zweck, Rechtsgrundlage, Datenkategorien, Empfänger:innen, Speicherdauer, technische und organisatorische Maßnahmen sowie gegebenenfalls Drittlandübermittlungen.

Je nach Einsatz kann auch zu prüfen sein, ob eine Datenschutz-Folgenabschätzung erforderlich ist, etwa wenn umfangreiche Gästedaten analysiert, Profile gebildet oder automatisierte Bewertungen vorgenommen werden.

Neue Erkenntnisse aus Behördenpraxis und Judikatur

In Österreich gibt es bislang keine spezifische Judikatur zu KI im Hotelmarketing. Die bisherige Behördenpraxis zeigt aber klar: Sobald personenbezogene Daten automatisiert analysiert, bewertet oder für Profiling genutzt werden, braucht es eine saubere Rechtsgrundlage, nachvollziehbare Dokumentation und echte menschliche Kontrolle.

Die DSGVO verbietet KI nicht. Sie bleibt aber anwendbar, sobald personenbezogene Daten verarbeitet werden.

Bereit für den KI-Check in Ihrem Hotelmarketing?

Überblick

  • Wissen Sie, welche KI-Tools im Hotel bereits genutzt werden?
  • Gibt es eine Liste der eingesetzten Tools und Zwecke?
  • Ist klar geregelt, welche Tools erlaubt sind und welche nicht?

Datenschutz

  • Werden Gäste-, Reservierungs-, Beschwerde- oder Mitarbeiterdaten in KI-Tools eingegeben?
  • Werden sensible Daten wie Allergien, Gesundheitsinformationen oder Spa-/Wellnessdaten verarbeitet?
  •  Werden Daten vor der Eingabe anonymisiert oder zumindest verallgemeinert?

Anbieter:innen & Verträge

  • Ist bekannt, ob Eingaben gespeichert oder zum Training verwendet werden?
  • Wurde geprüft, wo die Daten verarbeitet werden?
  • Gibt es bei personenbezogenen Daten einen passenden Vertrag bzw. eine dokumentierte Anbieterprüfung?

Transparenz & Kontrolle

  • Erkennen Gäste, wenn sie mit einem KI-Chatbot kommunizieren?
  • Werden KI-generierte oder stark manipulierte Bilder gekennzeichnet, wenn sonst ein falscher Eindruck entstehen könnte?
  • Werden KI-generierte Inhalte vor Veröffentlichung von einer verantwortlichen Person geprüft?

Team & Dokumentation

  • Wurden jene Mitarbeiter:innen sensibilisiert, die KI im Marketing oder in der Gästekommunikation nutzen?
  •  Gibt es kurze interne Regeln für den Einsatz von KI?
  •  Ist der KI-Einsatz dokumentiert, wenn personenbezogene Daten verarbeitet werden?

Was tun mit dem Ergebnis?

Wenn alle Fragen mit „Ja“ beantwortet werden können, ist das Hotel auf einem guten Weg. Wenn einzelne Fragen mit „Nein“ oder „Unklar“ beantwortet werden, besteht Handlungsbedarf vor dem weiteren Einsatz von KI. 

Ihre Ansprechpartnerin

Mag. Maria Wottawa

Mag. Maria Wottawa

Leitung Mitgliederservice E-Mail senden +43 1 5330952-14
Zur Hauptnavigation
Print Share

Diesen Artikel teilen

Das geistige Eigentum an allen Texten, Bildern und Videos auf dieser Website liegt bei der Österreichischen Hotelvereinigung oder wurde mit Genehmigung des jeweiligen Inhabers der entsprechenden Rechte verwendet. Es ist gestattet, diese Website zu betrachten, Extrakte auszudrucken, auf die Festplatte Ihres Computers zu speichern und an andere Personen weiterzuleiten. Es ist jedoch nicht gestattet, die Inhalte kommerziell zu nutzen oder Inhalte – auch in Teilen – in Publikationen zu verwenden. Weitergehende Rechte sind mit der Nutzung dieser Website nicht verbunden. Die Österreichische Hotelvereinigung ist nicht verantwortlich für fremde Inhalte von Websites, auf die von dieser Seite verwiesen wird.